jonkoping.se
Kontroll av Vaggeryds kommuns personuppgiftsbehandlingar
Bilaga 1: Behandlingsförteckning med kommentarer
Dataskyddsombuds kontroll av personuppgiftsbehandlingar inom Vaggeryds kommun har skett den 22 oktober 2018. Framöver
kommer sådana genomgångar att genomföras återkommande årsvis.
Vid den första kontrollen har jag valt att fokusera på själva
registerförteckningen och att en korrekt kartläggning gjorts av hur kommunens behandlingar går till. Vaggeryd använder för hantering av registerförteckning tjänsten DraftIT Records.
Resultatet av kontrollen är i huvudsak positivt. Kommunen har en bra hantering av personuppgifter. Registrerades rättigheter respekteras och det har inte framkommit några kränkningar av den personliga integriteten.
Det återstår dock en del arbete vad gäller själva
registerförteckningen. Registerförteckningen behöver fyllas i
fullständigt. Dels ska alla bearbetningar eller processer läggas in och dels ska fullständiga uppgifter om dessa finnas i systemet. Detta kan kräva en del arbete av de medarbetare som registrerar och av de som är insatta hur personuppgifter behandlas i olika processer.
Registreringsarbetet kommer att variera i omfattning mellan förvaltningar. Arbetet har hittills fokuserats främst på den centrala förvaltningen under kommunstyrelsen och behöver expanderas för att i högre grad inkludera övriga förvaltningar.
Även vissa andra förändringar utifrån övergången till
dataskyddsförordningen innebär att arbetsinsatser krävs för att få en fullgod registerförteckning och hantering av personuppgifter.
Intresseavvägning är inte längre en godtagbar laglig grund för myndigheters behandlingar. I vissa fall måste därför nya lagliga grunder hittas.
I vissa delar är också förteckningen uppdelad utifrån system istället för processer. Detta var korrekt hantering under PUL, men enligt den nya förordningen ska förteckningen delas upp efter bearbetningar (eller processer) och inte efter IT-system. DraftIT Records har goda
möjligheter att lägga in system och knyta dessa till olika
bearbetningar, så systemperspektivet behöver inte förloras helt.
De nya reglerna innebär även en större informationsskyldighet gentemot den registrerade personen. Information behöver lämnas oftare och behöver innehålla mer information om hur
personuppgifterna hanteras. Det bör dock noteras att mycket information som är densamma för alla behandlingar kan lämnas genom intern och extern hemsida för att i informationen kopplad till den specifika bearbetningen fokusera på vad som är unikt för bearbetningen.
Många processer är ofullständigt registrerade i förteckningen.
Återkommande brister är redogörelse för säkerhetsåtgärder och behörighetshantering, hur gallring sker och hur övergång sker till arkivbehandling när så är aktuellt. Om säkerhetsåtgärder hänvisas ofta till IT-säkerhetsplan som är mycket gammal och inte verkar vara förankrad i organisationen idag.
I många processer behöver det även i förteckningen redogöras för att personuppgifter kan komma att lämnas ut vid begäran om allmän handling enligt tryckfrihetsförordningen.
Kommunen behöver även undersöka vilka biträdesförhållanden som finns inom kommunen, främst mellan IT-enheten och förvaltningar eller bolag. Därefter behöver någon typ av rättsakt eller avtal upprättas för att reglera dessa förhållanden.
Sammanfattningsvis har Vaggeryds kommun till stor del samma arbete framför sig som många andra aktörer i Sverige som berörs av de nya reglerna om personuppgiftshantering. Ett grundligt arbete har dock inletts för att kartlägga kommunens processer och
informationsflöden, vilket bör resultera i god efterlevnad av förordningen och ett stärkt arbete med personuppgiftshantering.
Många av de brister som idag finns i registerförteckningen och det praktiska arbetet med personuppgifter löses genom en kartläggning av kommunens processer. Med rätt resurser och tid finns alla
förutsättningar att helt leva upp till förordningens krav.
Johan Isaksson
Dataskyddsombud Vaggeryds Kommun 2018-10-23